Non hai menzionato quale piattaforma, ma visto che hai usato il passcode, assumerò iOS. Altre piattaforme sono probabilmente simili.
Ci sono molti dettagli sulle funzioni di crittografia e sicurezza di iOS qui: link
In particolare:
In addition to unlocking the device, a passcode provides entropy for
certain encryption keys.
...
(NSFileProtectionComplete): The class key is protected with a key
derived from the user passcode and the device UID. Shortly after the
user locks a device (10 seconds, if the Require Password setting is
Immediately), the decrypted class key is discarded, rendering all data
in this class inaccessible until the user enters the passcode again or
unlocks the device using Touch ID.
In sostanza, il passcode viene utilizzato come chiave di decrittografia: se viene immesso il codice di accesso errato, la decrittografia fallirà. Se la decrittografia ha esito positivo, il passcode è valido.
Can forensic analysts simply retrieve the passcode in authentic form
and use it to decrypt the rest of the device?
No, sarai in grado di decrittografare le altre chiavi solo conoscendo il passcode.